Risque
- Exécution de code arbitraire à distance ;
- déni de service à distance ;
- contournement de la politique de sécurité ;
- injection de code indirecte.
Systèmes affectés
Mozilla Thunderbird versions antérieures à 3.1.3 et 3.0.7.
Résumé
De multiples vulnérabilités dans Mozilla Thunderbird permettent, entre autre, l'exécution de code arbitraire à distance.
Description
Plusieurs vulnérabilités critiques ont été découvertes dans Mozilla Thunderbird, permettant à une personne malveillante d'exécuter du code arbitraire à distance, d'accéder indûment à des informations sur le poste de l'utilisateur, de mener des attaques de type injection de code indirecte (XSS).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Les versions 3.1.3 et 3.0.7 corrigent ces problèmes.
Documentation
- Avis de sécurité Thunderbird branche 3.1 :
http://www.mozilla.org/security/known-vulnerabilities/thunderbird31.html#thunderbird3.1.3
- Avis de sécurité Thunderbird branche 3.0 :
http://www.mozilla.org/security/known-vulnerabilities/thunderbird30.html#thunderbird3.0.7
- Référence CVE CVE-2010-2760 :
https://www.cve.org/CVERecord?id=CVE-2010-2760
- Référence CVE CVE-2010-2762 :
https://www.cve.org/CVERecord?id=CVE-2010-2762
- Référence CVE CVE-2010-2763 :
https://www.cve.org/CVERecord?id=CVE-2010-2763
- Référence CVE CVE-2010-2764 :
https://www.cve.org/CVERecord?id=CVE-2010-2764
- Référence CVE CVE-2010-2765 :
https://www.cve.org/CVERecord?id=CVE-2010-2765
- Référence CVE CVE-2010-2766 :
https://www.cve.org/CVERecord?id=CVE-2010-2766
- Référence CVE CVE-2010-2767 :
https://www.cve.org/CVERecord?id=CVE-2010-2767
- Référence CVE CVE-2010-2768 :
https://www.cve.org/CVERecord?id=CVE-2010-2768
- Référence CVE CVE-2010-2769 :
https://www.cve.org/CVERecord?id=CVE-2010-2769
- Référence CVE CVE-2010-2770 :
https://www.cve.org/CVERecord?id=CVE-2010-2770
- Référence CVE CVE-2010-3166 :
https://www.cve.org/CVERecord?id=CVE-2010-3166
- Référence CVE CVE-2010-3167 :
https://www.cve.org/CVERecord?id=CVE-2010-3167
- Référence CVE CVE-2010-3168 :
https://www.cve.org/CVERecord?id=CVE-2010-3168
- Référence CVE CVE-2010-3169 :
https://www.cve.org/CVERecord?id=CVE-2010-3169